JVNDB-2016-003304

OpenSSL におけるサービス運用妨害 (DoS) の脆弱性

OpenSSL は、ヒープバッファの境界チェックにポインタ演算を誤って使用するため、サービス運用妨害 (整数オーバーフローおよびアプリケーションクラッシュ) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。

補足情報 : CWE による脆弱性タイプは、CWE-190: Integer Overflow or Wraparound (整数オーバーフローまたはラップアラウンド) と識別されています。
http://cwe.mitre.org/data/definitions/190.html

OpenSSL Project

• OpenSSL 1.0.2h まで

オラクル

• Oracle Linux 5
• Oracle Linux 6
• Oracle Linux 7
• Oracle Solaris 10
• Oracle Solaris 11.3

ヒューレット・パッカード・エンタープライズ

• IceWall MCRP
• IceWall SSO Dfw
• IceWall SSO certd
• IceWall SSO Agent Option

日本電気

• CapsSuite V3.0 から V4.0
• EnterpriseIdentityManager
• ESMPRO/ServerAgent 4.4.22-1以降
• ESMPRO/ServerAgentService 全バージョン (Linux版)
• SecureWare/PKIアプリケーション開発キット Ver3.2
• WebOTX Application Server Enterprise V8.2 から V9.4
• WebOTX Application Server Express V8.2 から V9.4
• WebOTX Application Server Foundation V8.2 から V8.5
• WebOTX Application Server Standard V8.2 から V9.4
• WebOTX Enterprise Service Bus V8.2 から V8.5
• WebOTX Portal V8.2 から V9.1
• Express5800 SG3600全シリーズ
• IX1000シリーズ
• IX2000シリーズ
• IX3000シリーズ

日立

• Cosminexus Application Server Enterprise Version 6
• Cosminexus Application Server Standard Version 6
• Cosminexus Application Server Version 5
• Cosminexus Developer Light Version 6
• Cosminexus Developer Professional Version 6
• Cosminexus Developer Standard Version 6
• Cosminexus Developer Version 5
• Cosminexus HTTP Server
• Cosminexus Primary Server Base Version 6
• Cosminexus Primary Server Version 6
• Hitachi Web Server
• Hitachi Web Server - Security Enhancement
• uCosminexus Application Server Express
• uCosminexus Application Server Standard-R
• uCosminexus Application Server
• uCosminexus Application Server -R
• uCosminexus Application Server Enterprise
• uCosminexus Application Server Smart Edition
• uCosminexus Application Server Standard
• uCosminexus Developer 01
• uCosminexus Developer Professional
• uCosminexus Developer Professional for Plug-in
• uCosminexus Developer Light
• uCosminexus Developer Standard
• uCosminexus Primary Server Base
• uCosminexus Service Architect
• uCosminexus Service Platform
• uCosminexus Service Platform - Messaging

本脆弱性の影響を受ける製品の詳細については、ベンダ情報をご確認ください。

第三者により、予期しない malloc の動作を利用されることで、サービス運用妨害 (整数オーバーフローおよびアプリケーションクラッシュ) 状態にされるなど、不特定の影響を受ける可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

IBM

• IBM Support Document : 1995039

OpenSSL Project

• News : OpenSSL 1.0.1 Series Release Notes
• News : OpenSSL 1.0.2 Series Release Notes
• OpenSSL Project : Avoid some undefined pointer arithmetic

Splunk

• Splunk : Splunk Enterprise 6.4.5 addresses multiple vulnerabilities
• Splunk : Splunk Enterprise 6.5.1 addresses multiple OpenSSL vulnerabilities

Tenable, Inc.

• Tenable Network Security : TNS-2016-16

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2016
• Oracle Technology Network : Oracle Linux Bulletin - October 2016
• Oracle Technology Network : Oracle Solaris Third Party Bulletin - April 2016
• Oracle Technology Network : Oracle VM Server for x86 Bulletin - October 2016

シスコシステムズ

• Cisco Security Advisory : cisco-sa-20160927-openssl

ジュニパーネットワークス

• Security Bulletin : JSA10759

パルスセキュア

• Security Advisories : SA40312

ヒューレット・パッカード・エンタープライズ

• HPE Security Bulletin : HPSBGN03658

ブルーコートシステムズ

• Security Advisories : SA132

マカフィー

• McAfee Security Bulletin : SB10165

レッドハット

• Red Hat Bugzilla : Bug 1341705

日本電気

• NEC製品セキュリティ情報 : NV17-001

日立

• Hitachi Software Vulnerability Information : hitachi-sec-2017-103
• ソフトウェア製品セキュリティ情報 : HS16-023
• ソフトウェア製品セキュリティ情報 : hitachi-sec-2017-103

1. 整数オーバーフローまたはラップアラウンド(CWE-190) [NVD評価]

1. CVE-2016-2177

1. JVN : JVNVU#98667810
2. National Vulnerability Database (NVD) : CVE-2016-2177
3. ICS-CERT ADVISORY : ICSA-18-144-01
4. 関連文書 : BizMobile Go! 脆弱性対応状況

• [2016年06月22日]
    掲載
  [2016年08月25日]
    CVSS による深刻度：内容を更新
  [2016年09月14日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：日立 (HS16-023) を追加
  [2016年10月07日]
    ベンダ情報：OpenSSL Project (OpenSSL 1.0.1 Series Release Notes) を追加
    ベンダ情報：OpenSSL Project (OpenSSL 1.0.2 Series Release Notes) を追加
    ベンダ情報：シスコシステムズ (cisco-sa-20160927-openssl) を追加
    参考情報：JVN (JVNVU#98667810) を追加
  [2016年11月17日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加
    ベンダ情報：オラクル (Oracle Linux Bulletin - October 2016) を追加
    ベンダ情報：オラクル (Oracle Solaris Third Party Bulletin - April 2016) を追加
    ベンダ情報：オラクル (Oracle VM Server for x86 Bulletin - October 2016) を追加
    ベンダ情報：ヒューレット・パッカード・エンタープライズ (HPSBGN03658) を追加
    参考情報：関連文書 (BizMobile Go! 脆弱性対応状況) を追加
  [2017年02月21日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：日本電気 (NV17-001) を追加
    ベンダ情報：日立 (hitachi-sec-2017-103) を追加
    ベンダ情報：パルスセキュア (SA40312) を追加
    ベンダ情報：ジュニパーネットワークス (JSA10759) を追加
    ベンダ情報：ブルーコートシステムズ (SA132) を追加
    ベンダ情報：マカフィー (SB10165) を追加
    ベンダ情報：IBM (1995039) を追加
    ベンダ情報：Tenable Network Security (TNS-2016-16) を追加
    ベンダ情報：Splunk (Splunk Enterprise 6.4.5 addresses multiple vulnerabilities) を追加
    ベンダ情報：Splunk (Splunk Enterprise 6.5.1 addresses multiple OpenSSL vulnerabilities) を追加
  [2017年03月09日]
    影響を受けるシステム：ベンダ情報の更新に伴い内容を更新
  [2017年07月25日]
    影響を受けるシステム：ベンダ情報 (NV17-001) の更新に伴い内容を更新
  [2017年10月03日]
    CVSS による深刻度：内容を更新
    影響を受けるシステム：内容を更新
    CWE による脆弱性タイプ一覧：内容を更新
• [2019年07月10日]
    参考情報：ICS-CERT ADVISORY (ICSA-18-144-01) を追加